A quem se aplica a lei? Quando entra em vigor? O que as empresas devem fazer para se adequar?
Sancionada pelo presidente Michel Temer em 14/08/2018, a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018) visa a uniformização da proteção de dados pessoais e da privacidade no ordenamento jurídico brasileiro, bem como o aumento da regulação e fiscalização do Poder Público sobre o tratamento de dados pessoais feito pelas organizações.
Inicialmente, precisamos compreender o conceito de “tratamento”, segundo a LGPD: corresponde a toda operação feita com dados pessoais, tais como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Percebemos, portanto, que a expressão “tratamento de dados” não traz, em si, nenhuma novidade, pois corresponde a uma atividade que já é exercida rotineiramente há décadas pelas organizações.
O que as organizações deverão fazer para se adequar à nova Lei?
Para se adequar à nova Lei, as organizações deverão adotar medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais de seus clientes, seja de acessos não autorizados, seja de situações acidentais ou ilícitas.
Dentre essas medidas, a LGPD destaca a formulação de regras de boas práticas e de governança que deverão estabelecer as condições de organização, regime de funcionamento e procedimentos relacionado ao tratamento de dados pessoais.
Como isso vai funcionar na prática?
Inicialmente, a organização deverá elaborar uma Política de Proteção de Dados Pessoais que, dentre seus principais objetivos, podemos destacar a criação de um plano eficaz de Gestão e Gerenciamento de Riscos relacionado ao tratamento de dados.
Além disso, deverá ser nomeado um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO), que poderá ser tanto uma pessoa natural quanto jurídica (DPO as a service), e que atuará como canal de comunicação entre a organização, os titulares de dados (os clientes) e a Autoridade Nacional de Proteção de Dados – ANPD (o Órgão regulatório respectivo).
Caso o DPO nomeado seja uma pessoa natural, será recomendável a constituição de um Comitê de Proteção de Dados para auxiliá-lo em sua função. Preferencialmente, esse comitê deverá ser composto por membros das diversas áreas que compõem a empresa (setor financeiro, de marketing, RH, TI, jurídico etc.). A importância dessa diversidade repousa no fato de que o cargo de DPO envolve uma multidisciplinariedade de conhecimentos técnicos que normalmente estão além da capacidade de um único indivíduo.
Nomeado o DPO e constituído o Comitê, a próxima etapa será a Avaliação de Impacto na Privacidade (PIA) – ou Avaliação de Impacto na Proteção de Dados Pessoais (DPIA) – no âmbito da empresa. Importante ressaltar que essa avaliação não é um simples relatório para compliance. Na verdade, trata-se de uma forma estruturada para identificar, avaliar e mitigar os riscos inerentes ao tratamento de dados.
Identificados, avaliados e mitigados os riscos, a empresa deverá elaborar um Relatório de Impacto à Proteção de Dados Pessoais, contendo a descrição dos processos de tratamento de dados pessoais, inclusive aqueles que podem gerar riscos às liberdades civis e aos direitos fundamentais, além de apresentar as medidas, salvaguardas e mecanismos de mitigação de riscos, anteriormente analisados no DPIA.
Importante frisar que tanto o DPIA quanto o Relatório de Impacto não são atividades lineares, e sim cíclicas, uma vez que a Gestão e o Gerenciamento do Risco devem ser uma preocupação rotineira da organização, suscetíveis a atualizações e aprimoramentos constantes.
Mas quando a Lei Geral de Proteção de Dados entra em vigor?
Pela redação original da LGPD, aprovada em 14/08/2018, haveria uma vacatio legis de 18 meses para sua entrada em vigor pleno em fevereiro de 2020. Todavia, com a aprovação da Lei nº 13.853/2019 que, dentre outras mudanças, criou a Autoridade Nacional de Proteção de Dados, a vigência da LGPD foi postergada para 16/08/2020.
Uma nova proposta de alterar a data da vigência da LGPD surgiu com a aprovação do Projeto de Lei nº 1179, em 03/04/2020 pelo Senado Federal. Diante desse cenário, a Lei Geral de Proteção de Dados teria eficácia plena a partir de 01/01/2021, com exceção das penalidades administrativas, que passariam a vigorar a partir de 01/08/2021.
No mesmo mês, em 29/04/2020, foi editada a Medida Provisória nº 959, que altera a eficácia plena da LGPD, inclusive no tocante às penalidades, para 03/05/2021.
Em 14/05/2020, o PL 1179 é aprovado também na Câmara dos Deputados, mantendo a aplicação das sanções administrativas da LGPD para 01/08/2021, ficando os demais dispositivos sujeitos à votação da MP 959. O objetivo foi evitar a sobreposição de comandos normativos distintos.
Finalmente, em 19/05/2020, o PL 1179 é novamente votado no Senado, que acatou a alteração proposta pela Câmara dos Deputados.
Resta agora aguardarmos a sanção ou o veto presidencial do PL 1179…
Surgem, então, os seguintes panoramas:
- O Presidente da República sanciona o PL 1179 ante a MP 959 e até o fim da votação desta última no Congresso Nacional: teremos a LGPD em 03/05/2021 e as sanções administrativas em 01/08/2021;
- O Presidente veta o PL 1179 ante a MP 959 e até o fim da votação desta última no Congresso Nacional: teremos a LGPD em sua integralidade para 03/05/2021;
- O Presidente sanciona o PL 1179 e a MP 959 caduca: LGPD volta a viger em 16/08/2020, e as sanções em 01/08/2021;
- Veto presidencial do PL 1179 e caducidade da MP 959: LGPD integralmente em 16/08/2020.
O adiamento da data será um alívio para as empresas que ainda não iniciaram o processo de adequação. Mas não deixar para a última hora implica menos custo, mais credibilidade no mercado e menor risco de operação.
Acompanhe nossas redes do LinkedIn e Instagram e fique por dentro da data correta de entrada em vigor da lei e de outras novidades!